Se ha detectado una nueva campaña masiva de correos electrónicos que se hacen pasar por supuestas facturas cuyo asunto es similar a «[Factura: FACV201700000577]», donde pueden variar los tres últimos dígitos, los cuales adjuntan un fichero Excel malicioso.

Recursos afectados

Cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso con las características descritas en este aviso de seguridad, y descargue y ejecute el fichero Excel que contiene dicho email.

Solución

Si has recibido un correo similar a los descritos anteriormente pero no has ejecutado ningún archivo que contiene el documento adjunto, tu equipo no se habrá infectado.

Si ves en tu bandeja de entrada algún email cuyo asunto es igual o parecido a los que hemos descrito, elimínalo directamente. No lo descargues y/o ejecutes posibles ficheros adjuntos que puedan ser sospechosos o similares al descrito anteriormente.

Además, si quieres una mayor seguridad y salvaguarda de los datos albergados en tus dispositivos, haz copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia), con toda la información que consideres importante. De esta manera, en caso que tu dispositivo se vea afectado por algún incidente de este tipo, no la perderás. Si necesitas ayuda para realizar esta tarea, te recomendamos que consultes los siguientes contenidos:

 

¿Cómo desinfectar el ordenador si has caído en el engaño?

Si has descargado y ejecutado el archivo malicioso, es posible que tu ordenador se haya infectado. Para eliminar la infección en principio se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder.

Si necesitas soporte o asistencia para la eliminación del malware, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

Detalles

Todos los mensajes detectados en esta nueva campaña de emails maliciosos, tienen la misma estructura, y cuentan con un fichero adjunto comprimido en formato Microsoft Excel cuyos nombres son secuencias alfanuméricas con nombres como: FACV00000-021.xls, donde únicamente varían los tres últimos dígitos.

Captura de patnalla de la cabecera del correo malicioso donde se puede ver el Asunto [Factura: FACV00000577]

El fichero .xls contiene un documento tipo hoja de cálculo de Microsoft Excel:

Captura de pantalla donde se puede ver el fichero Excel adjunto con nombre FACV00000-021.xls

Los ficheros maliciosos detectados contienen una macro (pequeño programa que realiza diferentes acciones de forma automática). Si se activa su ejecución haciendo clic en «Habilitar contenido», se descargará un malware y se ejecutará, provocando la infección del dispositivo.

En este tipo de campañas, los ciberdelincuentes utilizan la ingeniería social para engañar al usuario y guiarle para que bajo un falso pretexto acabe realizando la acción que ellos quieren, en este caso concreto, infectado su equipo con malware.

Captura del fichero Excel abierto que simula la factura donde se puede ver el botón Habilitar edición que introduciría el malware en nuestro dispositivo

Tras analizar el archivo malicioso, se ha detectado que se trata de un troyano llamado ZBOT.

Captura de pantalla del análisis realizado con virustotal